聂琳峰 沈伟健 （北京 房山 102488）

［内容提要］

大数据技术的发展对传统个人信息法律保护框架提出了挑战，困境的出现源于传统个人信息法律保护框架与大数据背景下新兴的场景化社会本位保护理念存在错位。要解决这些困境，应当构建公共利益导向的个人信息保护制度，为维护人格利益保驾护航。

大数据技术 个人信息保护 社会本位理念

大数据时代下，个人信息尤为重要。伴随着信息流通价值的实现，信息安全问题也日益凸显。为应对信息安全风险，我国出台了一系列规范。虽然我国对个人信息的保护力度不断增强，但信息违规事件却时常发生。因此，2020年10月，全国人大常委会审议了《个人信息保护法（草案）》（下文简称《个保法》）。提出树立新式信息保护理念、构建新型信息保护制度，以助力数字经济腾飞发展、推动人格利益充分保障。

一、传统的个人信息保护框架的理论基础

当前，我国法学理论和法律制度均以理性人假设作为基础。该假设强调信息主体自我控制、自主决断和自己责任，赋予信息主体以个人信息权，将个人信息保护私权化，实现信息主体对个人信息的排他控制。

（一）理性人的理论渊源

理性人假设源于近现代的人本主义思想。上世纪中叶，人本主义在美国兴起，它以人为最终目的，强调人的尊严、价值，让人自由表达思想、情感，实现人对自身的控制。所以，通过信息确权方式赋予个人信息自决权，实现人对个人信息的控制，是人本主义在个人信息领域的具体化。若信息主体无法掌握个人信息被何人、何时、何样获取并利用，信息主体将沦为他人可操纵的信息客体，人的主体地位将不复存在，人格自由发展将难以保证。

（二）传统个人信息保护的制度体系

目前，各国在个人信息保护模式上均通过赋予个人信息自决权来构建个人信息保护法律体系，采取知情同意事前预防和民事诉讼事后救济的双重保护方式，行政干涉或司法干预仅限于保护个人信息权免受公权力或第三方不法侵害。

1、以知情同意原则为核心，实现事前绝对控制

《个保法》第5条规定了知情同意原则。该原则将信息主体置于信息决策中心，假定个人能独立、理性地管理个人信息，并以此原则为圆心对信息风险做出了结构性配置，信息保护责任归于个人。信息处理者的义务就是遵守知情同意原则，一般信息处理者会采取公开隐私政策或提供授权选项的方式来获取认可。以《京东隐私政策》为例，它将个人信息分为提供服务必需的信息（如账号、密码、手机号、收货人、收货地址、订单号）和提供服务非必需但可能影响扩展功能的信息（如地理位置、面部信息、晒单、通讯录），若信息主体不愿提供前者，只能停止访问京东；若信息主体不愿提供后者，可以关闭权限、取消授权，但可能影响购物体验。以知情同意原则为基础，权责一致原则、目的明确原则、最小必要原则、完整正确原则、公开透明原则、安全原则、主体参与原则也应运而生。为了更具体实现信息主体的自主控制，以上述原则为指引，各国都创立了以信息决定权、保密权、访问权、更正权、封锁权、删除权和被遗忘权等为核心的权利体系。

通过明确知情同意原则和构建具体权利体系，个人信息权实现了私权化，信息主体实现了对个人信息的独占支配，这体现了传统信息保护模式坚决维护人格尊严、人格自由的立场，极大促进了传统信息时代的经济社会发展。

2、以民事诉讼为主要途径，保障事后有效救济

个人信息侵权指侵权人未取得信息主体知情同意，擅自收集、处理或利用个人信息。传统保护模式认为，信息法益为个人利益，个人是自身利益的最佳决策者，并且侵权者与信息主体处于同等法律地位，因此由信息主体决定是否提起诉讼，既能直接维护个人利益，又能间接提升社会效益。例如，在罗某诉某保险公司隐私权纠纷案中，法院认为被告保险公司非法收集、利用原告个人信息，多次致电原告推销车辆保险，侵扰了原告正常生活，侵犯了原告隐私权益，造成了精神损害，支持原告要求被告赔偿损失及1元精神损害抚慰金的诉讼请求。《个保法》第40条规定，国家机关违反本法规定造成信息主体人身或财产损失的，依据本法或国家赔偿法承担民事责任；非国家机关信息处理主体造成信息主体损失的，依据本法或其他民事规范承担民事责任。第41条规定，信息主体可以对非物质损失请求精神损害赔偿。

不过，由于信息侵权中潜在受害人存在不确定性、广泛性，单个受害人可能难以证明存在针对可识别性信息的侵权行为、损害结果、因果关系，从而败诉。例如，在朱烨与北京百度网讯科技公司隐私权纠纷上诉案中，法院认为网络精准广告使用cookie技术收集、利用的匿名偏好信息虽具备隐私属性，但无法对应识别用户身份，网络服务提供者和社会公众无法确定该偏好信息的归属主体，不符合个人信息“可识别性”要求，因而未侵犯隐私权。只有在少数情形下，法院可能会按“获利视为损失”原则推定赔偿金额。

二、传统个人信息保护框架的现实困境

随着大数据的蓬勃发展，数据存储模式由硬件存储转为了云端备份，典型特征是信息体量大、种类多样化、价值密度低、处理速度快。尽管法律不断对信息主体的权利进行加码，但由于个人信息利用关系日趋复杂、信息处理者与信息主体地位日渐悬殊、信息主体控制力日益丧失，传统信息保护机制已无法应对新型信息风险。

（一）利益平衡困境

在法治化市场经济社会中，个人信息既是一种人格具象物，也是一种生产资料。个人信息承载着多重价值，一种是人格尊严和自由价值，具有个人属性；另一种是商业流通和公共管理价值，具有社会属性。

在传统信息时代，信息收集主要依托问卷统计、档案登记、局域网录入等方式；信息处理一般依靠手动归口管理、人工计量分析、数据筛选加工、信息交互传递等方法；信息利用通常包括信息检索、信息选择、确定对象、对口宣传等途径。传统信息模式下，信息体量小、实时性差、单一性强、价值密度高、结构化明显、离线采集居多，以纸面或硬盘存储为主，个人可控性强、人格属性强。传统信息保护模式以个人本位理念构建起了法律体系，符合小数据时代个人信息的个体化特性，实现了人格利益与信息自由之间的利益平衡，促进了社会经济的均衡发展。

随着大数据技术的落地推广、应用场景的不断拓展，个人信息保护领域迎来了颠覆性变化。信息收集呈现出多样化、规模化、即时化趋势；信息存储以无形载体为主；信息处理展现出自动化、智能化、精细化特征；信息利用显现出精准化、互动化、可视化特质。一来信息的商业流通价值愈发重要。商家可以实现广告精准化投放和服务个性化提供，消费者的体验感得到了极致满足，经济运行形式和社会生活方式有了质的提升。二是信息的公共管理价值更加明显。政府通过大数据可以掌握人口、教育、医疗、旅游等信息，从而优化社会政策、提升管理效益，实现精细化、网格化管理。例如，在新冠肺炎疫情防控期间，我国政府借助健康码等数据技术，实现了对疫情的实时监测、重点筛查、有效防控，取得了重大抗疫成效。

当然，若过于强调个人信息的个体属性，严格限制信息流通，将致使海量的信息积压、沉淀，形成一座座封闭的信息孤岛，最终降低消费者体验感、阻碍公共政策落实、遏制智能产业发展；若过分突出个人信息的社会属性，肆意传播、利用个人信息，可能导致信息泄漏事件频繁发生，最后扼杀个体间信任感、妨碍人格自由发展；降低政府公信力、形成社会裂痕；引发市场恶意竞争、阻挠智能产业发展。

目前，我国个人信息相关法律法规、制度标准已经出现了倒向社会本位的趋势，但仍未打破个人本位的陈旧观念，整体设计上依然明显倾向于个人本位，利益位阶显著失衡。《个保法》、《信息安全技术个人信息安全规范》、《数据安全法（草案）》的规定，除关乎国家安全、公共安全、司法程序、新闻报道、学术研究及重大生命、财产利益等情形收集、使用个人信息不必征得信息主体的授权外，其他情况都需经过信息主体授权。但智能时代早已来临，信息收集、存储、利用已远超法律、政府、个人的预期，个人信息真实保护力度远不如法律预设保护力度，过度流通、利用现象层出不穷，知情同意原则、目的明确原则、限制利用原则、安全原则等成为了摆设，信息决定权、保密权、更正权、删除权等被侵犯的情况层见迭出，信息主体对个人信息的控制利益与信息处理者对个人信息的利用利益之间产生了价值冲突，易出现个人信息保护不足或保护过度的情形。

（二）信息决策困境

理性人假设认为信息主体是理性的，能做出对自身利益最优的决策。但大数据时代下，由于信息获取、分析、处理、利用能力的差异，不同主体之间的数字鸿沟愈发明显，理性人假设的前提正在被侵蚀，信息主体理性进行信息决策的实际水准远低于传统信息模式所假设的程度，知情同意原则逐渐形式化。

1、主观决策困境

主观决策困境主要源于信息主体的有限理性，信息保护效果与信息主体对信息利用、保护的理解程度息息相关。

（1）即时处理困境

为规避法律风险，信息处理者常制定纷繁复杂且专业化的隐私政策。而由于没有充裕时间阅读隐私政策、难以理解隐私政策内容、缺乏足够风险规避意识，多数信息主体只能依据即时、简单的利益分析做出信息决策。形式上，知情同意原则和隐私政策中的“告知选择”条款仿佛赋予了信息主体自由选择权；事实上，信息主体的决策往往是盲目冲动或漫不经心的，知情同意原则逐渐成为摆设，陷入形式化困境。

（2）短视困境

一方面信息风险具有潜在性、累积性、广泛性和不可逆性，对于单个主体来说多数损害的程度轻、可识别性弱。另一方面信息主体往往存在认识偏差，易低估风险可能性危害，高估自身风险预见、控制能力。因此，信息主体为了眼前利益，经过简单利弊衡量，常以个人信息为对价向信息处理者换取服务，同意个人信息利用、处理条款，而漠视信息泄露可能引发的长远影响。

据统计，仅《美团隐私政策》正文就共计9章14758字，同时针对美团打车、美团金融等特定服务还有单独的隐私政策，并且全文不乏应用程序接口（API）、SSL加密保护技术等专业术语。根据《高德隐私权政策》，“您撤回同意或授权的决定，不会影响此前基于您的同意或授权而开展的个人信息处理”，“本政策将根据业务模式的调整或更新不定期进行修订，该修订构成本隐私权政策的一部分”。换言之，隐私政策专业性强、理解难度大，信息主体易陷入短期决策困境；前期授权无法撤回、隐私政策不断修改，信息主体易陷入长期决策困境。

2、客观决策困境

客观决策困境主要表现为双方地位、能力逐步失衡，客观因素严重干涉信息主体决策结果。

（1）选择困境

随着大数据的普及，个体为了更好适应现代智能生活，不得不出让个人信息以换取智能服务，共享信息往往是无奈之举。例如，为了更好地享受网约车服务，信息主体就不得不同意“滴滴出行”的隐私政策，允许滴滴平台收集、保存、使用、共享自身的个人信息。

（2）数字鸿沟困境

一是信息存量不均衡。信息处理者技术优势明显、市场地位垄断、专业人员齐全，通过大数据挖掘技术，信息存量呈指数级增加；通过大数据分析技术，可以勾勒出信息主体人格画像，了解、掌握其爱好习性，监测、预判个体行为。二是信息增量不对等。为了追求利益最大化，信息处理者通常会设置信息壁垒以巩固、扩大其信息优势，比如强行推出格式条款、全部接受或全部拒绝条款、过度运用专业术语等。

据统计，2020年9月，新浪微博月独立设备数为581.9万台，所占综合社交APP月独立设备总数比例约为74%；2018年12月，短视频行业人均单日使用时长为32.2分钟，前四大短视频APP时长占比88.9%。可以发现，部分互联网巨头头部集聚效应显著、市场优势地位明显。一方面巨头具备先发优势，可以利用技术优势和海量信息，智能推送与用户习性相匹配的精品服务，给用户带来更好的互动体验，提高用户粘性。另一方面头部集聚效应也导致店大欺客现象屡见不鲜，在大数据技术面前，信息主体可以说是赤身裸体、任人宰割，一旦个人信息遭受侵害，信息主体要么无能为力、要么毫不知情。

（三）系统性保护困境

当前，个人信息保护方式主要有两类。一是人格权请求权。根据我国《民法典》编撰体例，个人信息保护编排在第四编人格权中，按照体系解释，应将个人信息权定性为人格权。因此，当个人信息权遭受侵害的，受害人享有停止侵害、排除妨害、消除影响、恢复名誉、赔礼道歉请求权，不适用诉讼时效规定。二是侵权责任请求权。如果行为人由于主观过错实施了个人信息侵权行为，造成了损害结果，同时行为和损害之间存在因果关系，应承担损害赔偿责任。不过，仅依靠双重请求权救济，难以实现个人信息保护全闭环，易引发系统性风险。

1、民事责任制度效果欠佳

当受侵害的信息主体提起民事诉讼进行维权时，现有民事责任制度难以真正保障个人信息权。

（1）双方诉讼能力差距悬殊、平等对抗不合实际

信息处理者领有专业的法律团队、拥有丰富的信息证据，可以控制、更改、销毁个人信息记录，处于强势地位；信息主体通常法律素养匮乏、举证能力缺乏、数据信息闭塞，居于劣势地位。

（2）个体损害不明显、诉讼程序启动难

一是个人信息权利是社会公众的权利集合，权利主体具备抽象性，权利行使存在先天障碍。或言之，信息侵权涉及面较广，受害人不特定，单个受害人难以知晓侵权行为的发生。

二是信息侵权以非物质损害为主且单次损害较轻，难以计量受损金额且维权成本与收益不成正比，同时基于“搭便车”心理，个体维权主动性差。

（3）民事救济滞后性强、权利维护有效性差

信息侵权往往持续时间长、单次损害小、累计损害大。信息主体若行使阻却型权利，虽体现了事中保护理念，但是信息主体事中难以发现且不易证明侵权行为，阻却型责任保护力度有限。若行使填补型权利或加重型权利，尽管能有效惩罚侵权人，但权利行使时间肯定晚于侵权行为发生时间，特别是针对敏感信息，一旦公开将无法弥补，同时诉讼程序也较繁琐。

（4）民事责任覆盖面小、公共利益维护性差。民事救济个别化和信息利益公共化之间错位明显。民事救济仅局限于提出诉讼请求的信息主体，而无法弥补同一侵权行为给不特定社会公众造成的损害。公益诉讼虽能缓解民事责任个别化难题，但以司法机关为主导的公益诉讼被动性明显，并且滞后性更加显著。

2、合同法保护欠缺

外观上，在个人信息收集环节，信息主体往往不必给付金钱即可享受信息处理者“免费”的商品或服务，因此交易属于无偿合同。而实质上，信息主体提供的信息应被视作货币等价物，双方主体在交易中互负给付义务，形成双务有偿合同，例如一些企业根据消费者个人信息的数量、重要性不同，提供差别化服务，即信息和服务实现了等价交换。

然而，我国对个人信息交易却缺少法律规范。虽然《民法典》第467条规定了无名合同，但个人信息交易与无名合同不同，随着大数据技术的成熟，经营者刻画的消费者人格画像越发精准，并通过精准化营销对消费者决策产生决定性影响。表面上消费者决策源于自由意志，而事实上自由意志可能遭受严重侵蚀，消费者成为“意思自由”的“牵线木偶”。个人信息交易涉及人格自由与尊严，不可能全盘照搬无名合同的规定，但基于信息与服务对价化交易这一基础，又必须得从合同法角度进行规制。因此，构筑符合智能时代的个人信息交易准则对实现保护全闭环、降低系统性风险而言十分关键。

3、公法保护不足

随着智能时代的来临，双重请求权保护机制已无法应对新型信息风险。对信息主体而言，鉴于个体认识很有限、信息风险较复杂、隐私条款太晦涩，常无法预见、避免、克服侵权行为，难以有效行使请求权。对信息处理者来说，逐一取得授权需耗费大量人力、物力，可能阻碍商业信息流通、影响公共治理效果。究其根本，在于智能时代中个人与社会组织在信息能力上差距巨大，这与突出意思自治、主体平等的私法理念大相径庭。因此，为了更好发挥私法的个人信息保护作用，需构建公法与私法二元保护体系。

纵观我国相关公法规范，《刑法》第253条规定了侵犯公民个人信息罪、两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》细化了刑事责任，《个保法》、《网络安全法》及《数据安全法（草案）》等规范对个人信息违法行为规定了行政责任。

不过，现有公法规范依旧存在不足。刑法只约束性质严重的犯罪行为，大部分信息侵权行为难以纳入刑法管辖范畴。其他规范虽然强调了行政责任，但一是法条表述含糊，仅规定非法行为需承担行政责任，责任内容不细致；二是信息主体责任缺少规范，只以信息处理者责任为主，对责任主体包括网络运营者、数据交易中介机构、国家机关等，责任内容包括罚款、没收违法所得、责令暂停业务、关闭网站、撤销执照等。公法保护以事后责任为主，事前预防不足、事中监管欠缺，并未实现信息完整生命周期的动态保护。

三、树立新式信息保护理念、构建新型信息保护制度

如今，智能时代方兴未艾，个人信息成为经济发展的关键动力。应结合我国国情，树立个人信息的社会本位保护理念，形成多元共治、多方受益、保护到位、利用合理的个人信息治理体系，推动个人信息治理能力现代化，实现数字经济健康发展、人格利益充分保障。

（一）树立个人信息的社会本位保护理念

当社会本位理念确立后，利益平衡困境、信息决策困境和系统性保护困境将迎刃而解。这三大困境根源在于多重利益冲突、个体有限理性和私法保护不足，而社会本位的社会利益导向、公法保护模式有效填补了个体本位的缺位。

1、个人信息的社会化趋势

（1）属性社会化

个人信息可分为原始信息和派生信息。前者指血型、指纹等生物识别信息，产生后恒定性高、个人性强；后者指社会交互中产生的社群信息，如购物记录、信用评级，属于准公共物品，社会属性强。个人信息兼具个体性与社会性，只是智能时代下社会性成为了首要属性。

（2）保护社会化

小数据时代信息侵权具备个体性、一次性、静态性，常表现为一对一简单侵权。大数据时代信息侵权具有广泛性、长期性、潜在性，常呈现为多对多复杂侵权。例如，2019年3月中国跨境大卖旗下Gearbest网站因疏忽泄露了数百万用户的订单信息；2020年5月建设银行员工贩卖5万多条银行卡持卡人身份信息、账户信息，涉案金额达2000余万元。正是由于侵权行为的潜在性、受害主体的广泛性、单次损失的细微性，决定了个人信息保护必须坚持社会本位。

（3）利用社会化。小数据时代个人信息被视作个人私有财产，所以采取个人本位理念符合个人信息利用实际。但大数据时代下，一是信息主体无法控制个人信息，二是信息自由流通价值凸显，因此社会本位理念进入法律视野。社会本位要求法律重心适当向公共利益倾斜，个人权益与社会利益达成良性动态平衡，信息的利用既要考虑信息主体的人格利益，还要考量信息处理者的商业利益和数字经济的发展前景。

2、社会本位保护理念的树立

社会本位保护理念的大体框架是，以多重价值均衡为首要目的，以多元风险治理为制度核心，以良好秩序建立为最高宗旨。

（1）实现多重价值均衡

个人本位理念不断赋权于信息主体、加责于信息处理者，以构建起个人信息保护法律体系。在该体系中，信息主体居于价值核心，信息处理者位于价值边缘。而社会本位理念兼顾信息主体的个体权益和信息处理者的流通利益。立法既保障信息主体的合法权利，又肯定信息处理者的利用价值，避免信息主体权利的无限扩张。执法、司法以场景理论为基础，以个案裁量为手段，实现每次人身自由与人格尊严价值和商业流通与公共管理价值、保护利益和利用利益之间的平衡。

（2）完善多元风险治理

风险治理是法律制度的应有之义，基于个人信息关系的主体多样性、利益多元性、价值多重性，个人信息保护不宜将信息主体控制权作为核心，应进行结构化权责分配。国家作为社会管理者、利益平衡者，应扮演风险宏观治理、微观调控的角色。宏观上，坚持总体国家数据安全观、制定国家数据安全战略、建立数据安全治理体系；微观上，实行数据分级分类保护，承担数据安全监管职责，建设数据安全风险评估、共享、监测、处置机制。其他信息处理者作为数据控制者、信息收益者，应承担风险防控主体责任。其一，基于实际控制原则，信息处理者应第一时间辨识风险的发生、运用风险管理工具、控制风险的损失；其二，基于风险收益对等原则，信息处理者享受了主要信息红利，应肩负起主要信息责任。信息主体作为数据生产者、信息弱势者，应学习数据安全知识、提升法律知识水平、增强主动维权意识。

（3）建立良好社会秩序

社会秩序的本质是利益分配关系，个人本位或社会本位只影响不同主体之间的利益分配比例。社会利益不是个体利益的机械相加，它体现着具有相对独立性的社会整体意志，独立于个体又深刻影响着个体。坚持社会本位理念有助于建立良好社会秩序。坚持社会本位理念可以划定合理的权利义务关系、促进信息健康有序流动、发挥数据的基础性资源作用。建立良好社会秩序有利于实现多重价值均衡。良好的社会秩序一定以社会利益最大化为向导，统筹兼顾各方利益、实现多重价值均衡，而不会以或肯或否的二分思维进行价值位阶排序。完善多元风险治理是建立良好社会秩序的必由之路。良好的社会秩序要求信息的收集合法、流动有序、利用高效，风险治理价值就在于降低、消除信息流通中可能产生的负外部性。

（二）构建公共利益导向的个人信息保护制度

社会本位理念强调信息有序流动，这牵涉信息主体、信息处理者、数据经济多重利益，因此应根据具体场景、信息关系勾勒动态的、相对的权利界限，构建公共利益导向的个人信息保护制度。

1、明确场景化个人信息权利边界

我国目前的个人信息权利边界依然是粗线条的，提取了各场景的最大公约数。若想兼顾多重利益，应细分运用场景，设置矩阵式权利边界。

（1）横向边界

根据信息的不同生命周期，实行差异化规制。信息收集阶段。可选用宽松规制战略，毕竟信息收集是后续信息生命周期的前置阶段。同时，信息处理者应遵循选择同意原则、公开透明原则、最小必要原则，提供多项业务功能的自主选择权限。信息处理阶段。可选择适度规制战略，因为信息处理直接影响他人利益。信息处理者应遵从目的限制原则、最小必要原则，实施访问控制策略、设置内部审批流程、建立职务分离制度、定期开展安全评估。信息保存、删除、公开阶段。应选定严苛规制战略，因为数据库存储着海量信息，一旦泄露将引发系统性风险。信息处理者应遵守确保安全原则、最小必要原则。信息的保存确保时间最短、去标识化、加密化；信息的删除保证不可逆化、便捷化；信息的公开需事前授权同意、事中安全评估、事后有效管制。

（2）纵向边界

根据主体类型、行业领域，推行类型化规制。主体分类规制据《互联网企业个人信息保护测评标准》，信息处理者可分为初始方、关联方、第三方，初始方向用户收集信息，关联方与初始方存在控制关系，第三方从初始方或关联方处获取信息；信息主体可分为一般人与未成年人，收集、处理未成年人信息应坚持未成年人利益优先原则、监护人同意原则。考虑到不同主体的差异化信息保护预期，还可细分公职人员、教师、患者等群体。信息分级规则根据《个人信息保护技术指引》依据信息风险等级，将信息分为四等。一、重要信息：泄漏后可能使个人财产遭受严重损失，如银行账户信息；二、一般信息：泄漏后可能使个人财产遭受损失，如身份证号；三、其他信息：泄漏后可能使个人财产受到影响，如健康生理信息；四、非敏感信息：公开后无影响，如出生日期。前三者即为敏感信息，一旦泄露、滥用易导致个人名誉、身心健康遭受损害或歧视性待遇。信息处理者在传输、存储敏感信息时，应采取不可逆算法加密存储，应进行数据漂白、脱敏。信息主体对敏感信息享有删除权、携带权、被遗忘权。行业分治规则，央行《金融消费者权益保护实施办法》明确金融机构收集个人金融信息时应遵循合法、合理、必要原则，要采取保密措施，需建立数据库分级授权管理制度，应制定个人金融信息使用管理制度。《征信机构信息安全规范》规定了征信机构信息采集、处理的接口、非接口方式，信息加工形成的信用报告、信用评分应遵循客观性原则，信息保存应可追溯、去标识、超期删除，信息查询应设置校验规则、加密或专线查询等。其他场景区分规则，根据信息处理者信息能力、公益程度的差异，加减义务配置。若信息能力强、公益程度高，则加重义务内容，如要求不相容职务分离设置；对信息违规行为，要求及时换口令、断连接、封账号。若信息能力弱、公益程度低，则适当减轻义务内容，如降低安全审计频率、简化安全应急预案。

2、建立系统性个人信息保护法律体系

我国现有个人信息保护规定集中于私法领域，但单纯依靠私法保护已无法适应智能时代。“场景化权利设置+系统性法律保障”有望成为今后个人信息保护领域的主流模式，形成公力救济、私力救济、社会救助多方参与的治理格局，实行预防优先、风险控制、全程管理、多元共治的保护机制，推动个人信息完整生命周期的保护。

（1）完善风险管理法律制度

提供公法保护。社会本位理念势必要求公法保护优位，公力救济成为个人信息保护首要环节。考虑到不同主体在信息能力上的巨大差距，应以集体保护原则、倾斜保护原则、个体公平原则为核心架构起公法保护框架，由国家为信息主体提供信息安全这一公共产品，建立信息风险管理机制、解决个体有限理性困境。

完善合同法保护。基于对价交易基础，信息主体与信息处理者事实上成立了契约。现代社会中，人格尊严的内涵得以延伸，人格权中经济价值逐步得到认同，个人信息逐渐成为商业利用对象。可以类推适用肖像权商业利用模式，推动个人信息经济价值的商业化利用。首先，肯定个人信息权许可使用合同的法律效力。擅自使用他人信息的，需承担财产型、精神型赔偿责任，这体现了个人信息财产利益与人格利益的双重属性。其次，赋予信息主体具有人格权效力的债权。基于人格权效力，信息主体享有任意解除权，一旦行使，信息处理者将丧失个人信息处理权限，同时个人信息权可突破合同相对性，具备对世效力。

（2）建设多元主体保护机制

由国家健全个人信息安全协同治理体系，推进政府部门、行业协会、企业、个人多元参与信息安全治理工作。由国家网信部门统筹个人信息保护监管工作，建立安全标准体系、组建信息交易市场、开展信息安全评估、培养信息安全人才，对信息安全负主体责任。建立个人信息保护社会服务体系，筹建行业协会、制定行业准则、建立奖惩机制、推广风险评估服务、开展信息保护认证、受理信息主体投诉。由信息从业者建立信息风险内部控制制度、信息档案管理系统、信息分级授权管理体系、信息安全事件应急处理机制、信息安全事件通知制度。加强新闻监督，展开个人信息保护法律规范和安全知识的公益宣传，及时曝光信息违法行为；强化社会监督，组织行业协会开展信息安全教育工作、参与制定信息安全标准；引导公民参与，公民个体需增强安全意识、政府机构要健全投诉渠道、行业协会应立足公民权益、标准制定当听取公民意见。

（3）打通信息保护最后一公里

拓宽多元救济渠道。探索组建政府部门、检察机关、公益组织、集体诉讼四位一体的救济途径。以消费者信息侵权为例，市场监管部门可依职权或依申请对信息违法行为开展调查、组织听证、做出处罚，涉嫌犯罪的移送公安机关；检察院可依职权或依申请向法院提起公益诉讼，消费者协会或受害人可作为共同原告或有独立请求权的第三人参与诉讼；消协可以自身名义直接向法院起诉，也可请求检察院启动公益诉讼程序，又可请求市场监管部门运用行政执法权；消费者群体可以全体名义提起集体诉讼，选取诉讼代表人参与诉讼，诉讼后果由全体共同承担。

援用举证责任倒置规则。诉讼双方往往技术水平悬殊大、信息能力不对等，个人举证难度大，若想平衡双方诉讼地位，需举证责任倒置。欧盟《通用数据保护条例》采用了举证责任倒置规则，若信息处理者能证明对损害结果无过错，不承担赔偿责任。更甚者，还可参考我国产品责任、环境污染责任，对信息责任适用无过错责任原则，他们共同点在于侵权行为均会损害不特定对象的利益。

建立法定赔偿制度。信息侵权通常持续时间长、单次损害小，信息处理者经常肆意收集、公开、利用个人信息，第三人非法盗取、泄露、贩卖个人信息的情况也屡见不鲜。应设定最低赔偿金额，实际赔付金额以最低赔偿金额与实际损失两者孰高为准。另外可设置惩罚性赔偿，惩罚性赔偿属于加重型民事责任，目的在于维护公平正义、遏制不法行为。业无信不兴、国无信不宁，若信息侵权行为性质严重，可将信息处理者违法情况记入社会诚信档案，增加违法成本。

大数据技术对我国个人信息保护法律体系而言，既是冲击、更是机遇。我国应当借助此次机遇，结合大数据独特的内生结构，处理好信息利用与信息保护两者的关系，树立新式保护理念、构建新型法律制度，实现国家治理能力、治理体系现代化。正如古人云：“立治有体，施治有序”。未来，我国应当继续深化对大数据技术和个人信息法律制度的研究，坚持立法先行、填补立法空白、加速立法更新、回应立法急需、突破立法难关，进一步完善我国个人信息法律体系，走稳依法治国的每一步。